委任のバックアップ差分(No.2)

バックアップ一覧
現在との差分を表示
ソースを表示
バックアップを表示
委任へ行く。
- 1 (2015-08-11 (火) 10:11:05)
- 2 (2015-08-11 (火) 11:12:33)
- 3 (2015-08-13 (木) 11:47:48)
- 4 (2016-01-26 (火) 19:09:28)
- 5 (2017-01-12 (木) 14:28:15)
- 6 (2017-03-12 (日) 14:49:44)
- 7 (2017-03-27 (月) 13:32:27)
- 8 (2018-02-14 (水) 19:55:24)
- 9 (2019-12-25 (水) 19:33:01)
- 10 (2020-05-15 (金) 11:11:47)

追加された行はこの色です。
削除された行はこの色です。

Open棟梁Project - マイクロソフト系技術情報 Wiki

-[[戻る>ベース クライアント セキュリティ モデル]]

* 目次 [#j65256a4]
#contents

*概要 [#d5241d73]
「[[偽装>サービス・タスク系のいろいろ#p4f563b8]]」をさらに強力にしたものが「委任」で、「委任」を許可することにより、「ベース クライアント」の権限でリモート リソースにアクセスできる（サーバ → サーバのリモート アクセス）。「委任」を許可していない場合、このリモート アクセスには権限が与えられず拒否される（これを、一般的にはダブルホップ問題と呼ぶ）。
「[[偽装>サービス・タスク系のいろいろ#p4f563b8]]」をさらに強力にしたものが「委任」で、「委任」を許可することにより、「ベース クライアント」の権限でリモート リソースにアクセスできる（サーバ → サーバのリモート アクセス）。

「委任」を使用する場合、Active　Directoryドメイン環境とKerberos 認証が必須である。Windows 2000 Serverに於ける「委任」については、制限が無かったが、この仕様が潜在的なセキュリティ脅威を含んでいたため、Windows 2003 Serverに於ける「委任」は、「制約付き委任」と区別される。「制約付き委任」では、「委任」可能なユーザ アカウントを指定する必要がある。また、「委任」によりアクセスできるサービスのリストは、A2D2リストという名称でActive　Directoryリストに保持されている。
「委任」を許可していない場合、このリモート アクセスには、「ベース クライアント」の権限が与えられず拒否される（これを、一般的にはダブルホップ問題と呼ぶ）。

*前提 [#i7faeee1]
「委任」を使用する場合、Active　Directoryドメイン環境とKerberos 認証が必須である。

Windows 2000 Serverに於ける「委任」については、制限が無かったが、~
潜在的なセキュリティ脅威を含んでいたため、Windows 2003 Serverに於ける「委任」は、「制約付き委任」と区別される。

-Windows Server 2003 の制約付き委任 (IIS 6.0)~
https://technet.microsoft.com/ja-jp/library/Dd296652.aspx

>>Windows 2000 では委任がサポートされていますが、システム上の特定のサービスに委任を制約することはでないため、この機能を安全に実装することは困難です。 ~
Windows Server 2003 ネイティブ ドメインでは、制約付き委任 ("Service4User2Proxy" と呼ばれることもあります) が使用されます。

*「委任」と「制約付き委任」 [#l6df523f]

-Windows Server 2003 の制約付き委任 (IIS 6.0)~
https://technet.microsoft.com/ja-jp/library/Dd296652.aspx

-認証を委任する~
https://msdn.microsoft.com/ja-jp/library/Cc739740.aspx

**「制約付き委任」 [#n9f29276]
管理者はアカウントの委任先となることができるサービス プリンシパル名 ([[SPN]]) を指定できる。~
この委任は、ドメイン管理者によって明示的に指定された特定のサービス グループに限定される。


***設定 [#kb38535a]
制限された委任の構成
-コンピュータに特定のサービスに対する委任時の信頼を付与する~
https://msdn.microsoft.com/ja-jp/library/cc739764.aspx
-ユーザーに特定のサービスに対する委任時の信頼を付与する~
https://msdn.microsoft.com/ja-jp/library/cc757194.aspx

**「委任」 [#m1206829]
「委任」によりアクセスできるサービスのリストは、~
A2D2リストという名称でActive　Directoryリストに保持されている。

***設定 [#n15a7ba4]
委任の構成
-コンピュータに委任時の信頼を付与する~
https://msdn.microsoft.com/ja-jp/library/cc738491.aspx
-ユーザーに委任時の信頼を付与する~
https://msdn.microsoft.com/ja-jp/library/cc739474.aspx

*参考 [#md3c4c96]
-[[SPN]]

-Kerberos の制限された委任を構成する~
https://msdn.microsoft.com/ja-jp/library/Cc786828.aspx

委任 のバックアップ差分(No.2)